Les chercheurs en sécurité enquêtant sur l'exploit Log4Shell récemment découvert et “extrêmement mauvais” affirment l'avoir utilisé sur des appareils aussi variés que les iPhones et les voitures Tesla. Selon les captures d'écran partagées en ligne, changer le nom de l'appareil d'un iPhone ou Tesla en une chaîne d'exploit spéciale était suffisant pour déclencher un ping des serveurs Apple ou Tesla, indiquant que le serveur à l'autre extrémité était vulnérable à Log4Shell.
Lors des démonstrations, les chercheurs ont changé les noms des appareils en une chaîne de caractères qui enverrait les serveurs à une URL de test, exploitant le comportement permis par la vulnérabilité. Après le changement de nom, le trafic entrant a montré des demandes d'URL provenant d'adresses IP appartenant à Apple et, dans le cas de Tesla, à China Unicom, le partenaire de service mobile de l'entreprise pour le marché chinois. En bref, les chercheurs ont incité les serveurs Apple et Tesla à visiter une URL de leur choix.
:no_upscale()/cdn.vox-cdn.com/up /chorus_asset/file/23085291/log4shell1.jpeg)
Un écran d'informations sur l'appareil iPhone dont le nom a été modifié pour contenir la chaîne d'exploit. Image : Cas van Cooten/Twitter La démonstration de l'iPhone est venue d'un chercheur néerlandais en sécurité ; l'autre a été téléchargé sur le référentiel anonyme Log4jAttackSurface Github.
En supposant que les images soient authentiques, elles montrent un comportement – le chargement de ressources à distance – qui ne devrait pas être possible avec du texte contenu dans un nom de périphérique. Cette preuve de concept a conduit à de nombreux rapports selon lesquels Apple et Tesla sont vulnérables à l'exploit.
Bien que la démonstration soit alarmante, on ne sait pas à quel point elle serait utile pour les cybercriminels. En théorie, un attaquant pourrait héberger du code malveillant sur l'URL cible afin d'infecter des serveurs vulnérables, mais un réseau bien entretenu pourrait empêcher une telle attaque au niveau du réseau. Plus généralement, rien n'indique que la méthode pourrait conduire à un compromis plus large des systèmes d'Apple ou de Tesla. (Aucune des deux sociétés n'a répondu à une demande de commentaire par e-mail au moment de la publication.)
Log4Shell est d'autant plus sérieux qu'il est relativement facile à exploiter
Pourtant, cela rappelle la nature complexe des systèmes technologiques, qui dépendent presque toujours du code extrait de bibliothèques tierces. L'exploit Log4Shell affecte un outil Java open source appelé log4j qui est largement utilisé pour la journalisation des événements d'application ; bien qu'on ne sache toujours pas exactement combien d'appareils sont touchés, mais les chercheurs estiment qu'il s'agit de millions, y compris des systèmes obscurs qui sont rarement la cible d'attaques de cette nature.
L'étendue totale de l'exploitation dans la nature est inconnue, mais dans un article de blog, la plate-forme d'investigation numérique Cado a signalé avoir détecté des serveurs essayant d'utiliser cette méthode pour installer le code du botnet Mirai.
Log4Shell est tout le plus grave étant d'être relativement facile à exploiter. La vulnérabilité fonctionne en incitant l'application à interpréter un morceau de texte comme un lien vers une ressource distante et à essayer de récupérer cette ressource au lieu d'enregistrer le texte tel qu'il est écrit. Tout ce qui est nécessaire est qu'un appareil vulnérable enregistre la chaîne de caractères spéciale dans ses journaux d'application.
Cela crée un potentiel de vulnérabilité dans de nombreux systèmes qui acceptent les entrées de l'utilisateur, car le texte du message peut être stocké dans les journaux. La vulnérabilité log4j a été détectée pour la première fois dans les serveurs Minecraft, que les attaquants pourraient compromettre en utilisant des messages de discussion ; et les systèmes qui envoient et reçoivent d'autres formats de messages comme les SMS sont clairement également sensibles.
Au moins un des principaux fournisseurs de SMS semble être vulnérable à l'exploit, selon les tests menés par The Verge. Lorsqu'ils sont envoyés à des numéros exploités par le fournisseur de SMS, les messages texte contenant un code d'exploitation ont déclenché une réponse des serveurs de l'entreprise qui a révélé des informations sur l'adresse IP et le nom d'hôte, suggérant que les serveurs pourraient être amenés à exécuter du code malveillant. Les appels et les e-mails à l'entreprise concernée n'avaient pas reçu de réponse au moment de la publication.
Une mise à jour de la bibliothèque log4j a été publiée pour atténuer la vulnérabilité, mais le correctif de toutes les machines vulnérables prendre du temps étant donné les défis de la mise à jour des logiciels d'entreprise à grande échelle.